Um nochmal was zum Thema beizusteuern:

Ich finde das Eingabefeld der Passwortlänge noch etwas buggy. Versuch z.B. mal mit der Tastatur die Passwortlänge 10 einzugeben. Hier wirst du merken, dass es da Probleme gibt, da alle zahlen <4 sofort ersetzt werden.

Hier solltest du dir also noch etwas einfallen lassen (z.B. erst im OnExit-Event überprüfen).

Grüße

... oder gleich ein SpinEdit nehmen, wo man Min und Max genau einstellen kann ...

Habe die Version 0.3 mit folgenden Änderungen hoch geladen.

17.02.2014 Version 0.3
- Einstellungen werden autom. in eine .xml-Datei gespeichert
- "Generieren"-Button wird Zufällig x-Mal im Hintergrund betätigt
- das Passwort wird am Ende nach Zufall gemischt
- die ausgewählten Anforderungen an das Passwort werden immer erfüllt (vorher waren sie optional, obwohl ausgewählt)
- Bug aus der Antwort #61 beseitigt

Ich habe überlegt, der PassGenerator so wie er ist macht wenig Sinn. Deswegen habe ich überlegt mit diesem eine Passwortliste erstellen zu lassen und diese danach ausdrucken oder in eine Datei packen. Wenn man diese ausdruckt kann man diese für verschiedene Dienste verwenden, z.B. Online-Banking. So hat man das Passwort auf nem Stück Papier und nicht digital, was gestohlen werden kann. Oder man erstellt mit dem Generator eine Passwortliste für Hotspots in Hotels oder so... die automatisch verwaltet und verteilt werden... jah... es gibt also viele Ideen dazu.

Was meint ihr? Wie kann ich den PassGenerator sinnvoller machen?

Nee, hatte mich auch getäuscht.

Aber gestern sah ich wieder, daß es seit Vista oder Win7 (>= 6.x) auf TaskDialogIndirect geht.

Meine SSD liegt noch bei fast genau 100 Cent pro GB. (da fallen die schrottigen RAD-Studio-Setups sehr auf)

Habe die Anwendung auf Google Code hochgeladen.
Hier...

Jeder der mitmachen möchte, bitte schön.

Die größte Schwachstelle in deinem Programm ist der Delphi-Zufallszahlengenerator.
Alternativen wurden sicher schon genannt.
Theoretisch kann der 4 Milliarden Ausgangsstellungen haben, für eine bestimmte Menge von Zeichen und Symbolen und einer vorgegebenen Länge könnte man alle möglichen Passwörter berechnen. Vermutlich sind das schon weniger als 4 Milliarden.
Deine Funktionen 'mehrfach Button betätigen' ist indirekt vom Startwert des Generators abhängig und verringert die Möglichkeiten weiter.

Einige Passwörter haben eine höhere Wahrscheinlichkeit als andere, eine entsprechende Tabelle aufzustellen geht mit heutiger Technik leicht.
Für einzelne Nutzer ist das ganze relativ sicher. Aber stell dir vor dein Programm würde sich rasant verbreiten und fast jeder nutzt es.
Bei einem Angriff mit solch einer Tabelle werden wahrscheinlich 100000 oder mehr E-Mailkonten per Botnetz gleichzeitig angegriffen.
Da findet sich immer ein Treffer.

Danke für Dein Feedback, aber ich verwende nicht den Delphi-Zufallszahlengenerator, sondern den Mersenne-Twister von Lazarus. Der hat nämlich eine Periode von 2^19937−1.


Das habe ich nicht ganz verstanden, wieso verringert das die Möglichkeiten?

Mersenne-Twister hat natürlich eine ausreichende Periodenlänge.

Die Funktionen 'mehrfach Button betätigen' halte ich dann nur noch für überflüssig.
Meine Bedenken gehen in diese Richtung:
Angenommen ich kenne ein Passwort, das sich ein Benutzer erstellt hat (z.B. von einer gehackten Webseite). Ich weis das er dein Programm verwendet und kann auf Grund des Passworts und anderer Informationen (Passwortvorschrift auf der Webseite z.B.) auf die Einstellungen schließen, die verwendet wurden. Ich kenne den Programmablauf. Damit könnte ich bei zu kurzer Periodenlänge eine Tabelle aller Zustände des Generators, das jeweils erzeugte Passwort und den Endzustand des Generators danach erstellen. Die Funktion 'mehrfach Button betätigen' wird ja ebenfalls durch den Generator gesteuert und hindert mich daran nicht. Wenn ich jetzt annehme, der Benutzer hat mehrere Passwörter hintereinander für verschiedene Anwendungszwecke erstellt, kann ich auch diese mit hoher Wahrscheinlichkeit aus meiner Tabelle ermitteln.
- das Passwort in meiner Tabelle suchen
- mit dem Anfangszustand des Generators in der Spalte der Endzustände suchen und das vorgehende Passwort ermitteln, usw.
- mit dem Endzustand des Generators in der Spalte der Anfangszustände suchen und das nachfolgende Passwort ermitteln, usw.
Erzeugen mehrere Anfangszustände das selbe Passwort, gibt es entsprechend mehrere Varianten, die ich aber ausprobieren kann.
So könnte ich z.B. Zugriff auf sein Gesichtsbuch bekommen, obwohl dort ein anderes Passwort verwendet wird.
Vieleicht klappt das nicht bei jedem Benutzer, aber es gibt ja genug andere.

Woooowoooowowoooowowow...STOPP

Das Szenario was du hier versuchst darzustellen ist wohl doch etwas stark übertrieben muss ich dazu sagen. Die meisten bzw. so gut wie alle E-Mail Provider arbeiten doch heutzutage mit Captchas und nach 3-5 Versuchen ist dann Schluss (IP ban).

Zusätzlich kommt dann hinzu, dass es absolut ineffizient ist mit einem BNet zu bruteforcen. In meinen Jahren in der ich stark mit der Materie vertraut war, gab es nicht einen Fall in dem ein Modul für BF bzw. E-Mail Checking für diverse Provider angeboten wurde.

Was natürlich sehr beliebt sind, sind sogenannte E-Mail Grabber / Trojanerfunktionen die dann mal eben eure Outlookkontakte exportieren + eure Mail Login Daten von eurem E-Mail Provider z.B aus dem Browser heraus (Stichwort gespeicherte Passwörter).

Vom dem her halte ich das etwas zu weit hergeholt.